Un fallo en Copilot convierte la IA de Microsoft en una puerta abierta al robo de datos: Outlook, OneDrive y SharePoint en peligro

Si hablamos de Microsoft en la actualidad, su nombre ya va ligado al concepto de inteligencia artificial y, en concreto, a Copilot. Está metido en absolutamente todos sus servicios con la idea de hacerte la vida más sencilla. Pero precisamente esto se acaba de convertir en su mayor problema. Investigadores de ciberseguridad de la empresa Varonis acaban de demostrar que esa comodidad se ha convertido en una debilidad muy seria.

En concreto, han descubierto un fallo en Copilot que podría acabar con la privacidad de cualquiera. Los expertos han llamado a este fallo SearchLeak, y permitía que se filtraran tus datos privados a través de una simple búsqueda. 

En este caso, un atacante no necesitaba meterte un virus en el ordenador ni hacer nada complejo. Lo único que le hacía falta era que tú pincharas en un enlace falso. Con ese solo clic, el asistente de Microsoft se volvía loco y se ponía a rebuscar en tus correos de Outlook, tus carpetas de OneDrive o tus documentos de SharePoint.

Que esto fuese posible se debe a la consecución de tres descuidos que por separado no son nada crítico, pero que, juntos, han dado pie a esta grave vulnerabilidad. 

Experto informático sobre la limpieza de tu correo: "Si tienes el Gmail echando humo y te sale el maldito aviso de que te vas a quedar sin espacio, no pagues un duro por Google One"

Todo empezaba con ese enlace falso que llevaba órdenes ocultas para la inteligencia artificial. Al pincharlo, el navegador de internet sufría un pequeño error de velocidad que permitía meter código antes de que los filtros de seguridad de Microsoft pudieran reaccionar y eliminarlo. A partir de ahí, ya se encargaba de todo la propia inteligencia artificial de la marca.

Rizando el rizo, usaban el propio buscador de Bing como un puente para hacerse con los datos de tu ordenador. La IA de Microsoft creaba una dirección web falsa que llevaba dentro toda la información que te acababa de robar y se la mandaba a Bing pensando que era una imagen normal. Al intentar cargarla, el buscador le enviaba todos esos datos al servidor del hacker.

El problema es que tú no te enteras de nada. A diferencia de otros virus o malware, aquí no aparece ninguna ventana rara con mensajes y no se notaba una bajada de rendimiento en el PC. Todo funcionaba normal. Sin embargo, por detrás, la IA ya estaba entregando todos tus datos personales de Outlook, OneDrive y SharePoint.

Para suerte de todos, Microsoft ya ha arreglado este problema tan grave en sus servicios

Teniendo en cuenta la gravedad y que esto ataca directamente a una inteligencia artificial que venden como segura al 100%, han actuado más rápido que nunca. 

A principios de este mes de junio de 2026, los ingenieros de Microsoft lanzaron un parche de seguridad urgente para cerrar esta vulnerabilidad. El fallo se ha registrado con el código oficial CVE-2026-42824 y los expertos le han dado una nota de gravedad de 10 sobre 10. Es la puntuación máxima posible.

Microsoft admite al fin que Teams funciona mal en ordenadores con poca RAM y lanza un modo eficiencia para solucionarlo

Microsoft prepara un importante cambio de seguridad en Windows que afectará a millones de equipos

Lo cierto es que, en este 2026, ha llegado el gran cambio para la compañía de Windows. Quieren cambiar esa percepción de los usuarios y convertir Windows 11 en un espacio seguro en el que querer quedarse. 

Por ejemplo, y durante los últimos años, Microsoft ha trabajado en sustituir NTLM por alternativas basadas en Kerberos, un sistema más seguro. Ahora, la empresa ha confirmado que en futuras versiones de Windows, tanto en cliente como en servidor, este protocolo ya anticuado comenzará a desactivarse por defecto.

La idea es eliminar vulnerabilidades asociadas a tecnologías antiguas y mejorar la protección en procesos de autenticación dentro del sistema operativo. Para ello, está incorporando nuevas capacidades que permiten mantener la compatibilidad en escenarios donde antes era necesario recurrir a NTLM.

En concreto, hay dos novedades. Por un lado está IAKerb, un sistema que permite utilizar Kerberos incluso cuando el dispositivo no tiene acceso directo a un controlador de dominio. En este caso, el propio servicio de destino puede actuar como intermediario en el proceso de autenticación.

Por otro, también aparece LocalKDC, una solución creada para habilitar autenticación Kerberos en entornos locales o equipos independientes, sin necesidad de depender de NTLM.